Reload Ransomware er basert på Makop

I vår analyse av Reload malware, fastslo vi at den tilhører Makop-familien og fungerer som løsepengevare, primært designet for filkryptering. Bortsett fra å kryptere data, slipper Reload også en løsepengenotat, kalt "+README-WARNING+.txt," og endrer filnavn.

Reload legger til en sekvens av tilfeldige tegn, antagelig offerets ID, en e-postadresse og utvidelsen ".reload" til de originale filnavnene. For eksempel transformerer den "1.jpg" til "1.jpg.[2AF20FA3].[reload2024@outlook.com].reload," og "2.png" til "2.png.[2AF20FA3].[reload2024@ outlook.com].reload," og så videre.

Løsepengene starter med en klar erklæring som indikerer at alle filene er kryptert og nå har utvidelsen ".reload". Det understreker at det haster med å kontakte angriperne umiddelbart for å forhindre at de krypterte filene publiseres på internett. Notatet gir e-postadressen reload2024@outlook.com for kommunikasjonsformål.

Videre utsteder notatet en trussel om permanent filtap hvis ofrene ikke klarer å engasjere seg direkte med angriperne for filgjenoppretting, noe som eksplisitt fraråder bruken av mellomleddsselskaper eller internettbaserte programmer for gjenopprettingsarbeid.

Last inn løsepengenotatet i sin helhet

Den fullstendige teksten til løsepengene generert av Reload lyder som følger:

Your files are encrypted and stolen, all encrypted files have the extension .reload

To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!

Our contact email address: reload2024@outlook.com

Your files may be published on the Internet if you ignore this message.

You will lose your files if you do not write to us to recover your files!

You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!

Hvordan distribueres Ransomware Like Reload på nettet?

Reload, som mange løsepengevarevarianter, distribueres vanligvis på nettet gjennom ulike metoder rettet mot å utnytte sårbarheter eller lure brukere til å laste ned og utføre skadelig innhold. Her er vanlige distribusjonsmetoder for løsepengevare som Reload:

Phishing-e-poster: Nettkriminelle bruker ofte phishing-e-poster for å levere løsepengeprogramvare. Disse e-postene kan virke legitime og inneholde ondsinnede vedlegg eller lenker. Når det gjelder reload, kan brukere bli lokket til å åpne et vedlegg, for eksempel et tilsynelatende ufarlig dokument eller fil, som deretter utløser installasjonsprosessen for skadelig programvare.

Ondsinnede nettsteder: Å besøke kompromitterte eller ondsinnede nettsteder kan føre til utilsiktet nedlasting og installasjon av løsepengeprogramvare. Nettkriminelle kan utnytte sårbarheter i nettlesere eller plugins for å levere den ondsinnede nyttelasten.

Utnyttelsessett: Cyberangripere kan bruke utnyttelsessett for å målrette mot kjente sårbarheter i programvare, operativsystemer eller nettlesere. Når en bruker besøker et kompromittert nettsted, skanner utnyttelsessettet etter sårbarheter og leverer løsepengelasten hvis en passende sårbarhet blir funnet.

Drive-by-nedlastinger: Uvitende nedlasting av skadelig innhold mens du besøker nettsteder, ofte gjennom popup-vinduer eller automatiske nedlastinger, kan føre til installasjon av løsepengeprogramvare. Brukere er kanskje ikke klar over disse nedlastingene, noe som gjør det lettere for skadelig programvare å infiltrere systemet.

Ondsinnede annonser (malvertising): Nettkriminelle kan bruke nettbaserte annonser for å distribuere løsepengeprogramvare. Å klikke på en infisert annonse kan omdirigere brukere til et nettsted som er vert for skadelig programvare eller utløse en automatisk nedlasting.

Kompromittert programvare: Angripere kan kompromittere legitime programvareinstallatører eller oppdateringer ved å injisere løsepengevare i dem før brukere laster ned og installerer den tilsynelatende autentiske programvaren.